Witaj! Rejestracja

Narzędzia do podsłuchu (sniffingu) ruchu sieciowego


ethereal

Polecenie pozwala na przechwytywanie pakietów przychodzących z sieci oraz dogłębną analizę. Pracę z programem zaczynamy poprzez włączenie przechwytywania pakietów. Program zapisuje całość ruchu sieciowego dochodzącego do naszej kary sieciowej. Następnie zatrzymujemy przechwytywanie i analizujemy zapisany ruch sieciowy.
Program daje możliwości podglądu statystyk sieci oraz zawartości poszczególnych połączeń, zakładanie filtrów itd.
Niesamowite narzędzie do nauki protokołów sieciowych, inspekcję ramek sieciowych a nawet sniffing danych.
Dokumentacja opisująca interfejs użytkownika i funkcje programu dostępna jest pod adresem: Ethereal User's Guide
Ciekawymi zadaniami domowymi mogą być:

1. Włącz program ethereal (root user)
2. Włącz przechwytywanie ruchu. (za pierwszym razem trzeba wybrać interfejs sieciowy capture->options->start).
3. Wykonaj polecenia ping, ssh, ftp i inne żeby wygenerować różnego rodzaju ruch sieciowy
4. Połącz się za pomocą klienta ftp z serverem ftp np. sunsite.icm.edu.pl lub task.gda.net lub innym i pobież jakiś plik.
5. Otwórz stronę np. google.pl i wpisz coś w formularzu wyszukiwania.
6. Zaloguj się klientem poczty by odebrać pocztę ze swojego serwera pop3
7. Zatrzymaj przechwytywanie pakietów.
8. Przejrzyj statystyki: summary, hierarchię protokołów, konwersacje oraz punkty końcowe i wykres IO. Zwróć uwagę na konwersacje i punkty końcowe pozwala to na ładne zgrupowanie informacji o ruchu w sieci ze względu na protokoły i adresy
9. Poszukaj połączenia z serwerem google i podejżyj TCP stream. Zobaczysz jak na dłoni jakie dany wysyłałeś (formularz) oraz jakie dane odbierałeś
10. Wyczyść pole filtru i kliknij apply by znów zobaczyć wszystkie pakiety
11. Poszukaj połączeń ftp i podejrzyj TCP stream
12. Zobacz że dane przesyłane są otwartym tekstem razem z hasłami! Bardzo podstawowa znajomość protokołów jak ftp pop3 itd pozwala na skuteczne snifowanie ruchu
13. Odnajdź pakiet rozpoczynający żądznie HTTP metodą GET. Kliknij w oknie protokołów poszczególne zakładki by zobaczyć które bajty transmisji zawierają które pola. Zauważ że narzędzie potrafi analizować też pola protokołu HTTP. Mamy wgląd w poszczególne wartości wysyłanego żądania.
14. Przejrzyj dokumentację kolorowania pakietów i ustaw kolorowanie tła pakietu na czerwono gdy (aby reguła kolorowania została użyta trzeba przesunąć ją w górę ponad domyślne kolorowanie pakietów tcp) tcp.flags.syn = = 1 and tcp.flags.ack = = 0
15. Spowoduje to że wszystkie pakiety inicjujące połączenia będą w innym kolorze. Będzie można je wtedy łatwo wyszukać.
16. Kliknięcie TCP stream na takim pakiecie pokaże nam całą transmisję w ramach tego połączenia TCP. Pomijane są duplikaty i inne pakiety związane z połączeniem. W oknie zobaczymy tylko dane jakie były przesyłane.
17. Zwróć uwagę na filtr ustawiony na pasku narzędzi. Jeśli w filtrze wpiszemy jakaś regułę będziemy widzieć tylko pakiety spełniający określone kryteria. tcp.flags.syn = = 1 and tcp.flags.ack = = 0
18. Zwróć uwagę że w okno podglądu strumienia TCP pozwala na zapis strumienia połączenia do pliku.
19. Kliknij na jakimś pakiecie TCP i obejrzyj (w oknie po środku ekranu)

ettercap

Program ten w odróżnieniu od ethereal i innych nastawiony jest na bardziej hakerski sniffing. Program posiada wbudowane funkcje filtrowania i zapisywania haseł i loginów w protokołach jak ftp/http/telnet/pop3 itd. Program raz uruchomiony będzie filtrować wszystko co znajdzie w sieci i zapisze wszelkie przechwycone hasła. Może w ten sposób działać przez całe dnie.
Bardzo ciekawe funkcje programu to przechwytywania połączeń, podmiany części połączeń i ataki man in the middle.
Podsłuchiwanie w sieci opartej o huby jest bardzo proste. Możemy podsłuchiwać całość komunikacji w naszym segmencie. Możemy więc podsłuchiwać całą komunikację pomiędzy wszystkimi komputerami z naszego segmentu a resztą świata.
Sniffing może być aktywny i pasywny. Nasłuch pasywny jest trudny do wykrycia (niemal niemożliwy). Jeżeli nasze oprogramowanie całkowicie milczy a jądro systemu posiada odpowiednio skonfigurowane filtry firewall. Wtedy nawet programy do detekcji sniferów nie mają szans nas wykryć. Problem z pasywnym snifingiem jest to że nie diała on w sieciach opartych o switche.
W takich sieciach można jednak próbować aktywnych metod snifowania jak przepełnianie buforów arp by przekierowywać pakiety przez naszą kartę sieciową lub przełaczać switch niejako w hub.
Z punktu widzenia administratora sieci lokalnej jest to ogromne zagrożenie. Dlatego coraz większą popularność mają rozwiązania typu wirtualnych sieci prywatnych VPN gdzie cała komunikacja IP jest szyfrowana. Należy zawsze pamiętać że w każdej chwili możemy być podsłuchiwani. Nie są do tego potrzebne żadne specjalne urządzenia ani umiejętności.
Poza snifowaniem ettercap pozwala na ataki Man In The Middle typu ARP poisoning. Polega na oszukaniu systemów operacyjnych ofiar że powiązania IP-MAC prowadzą do naszego komputera. W takim przypadku wszystkie komputery chcąc komunikować się z ofiarą wyślą pakiety z naszym adresem MAC (tak jakbyśmy byli routerem dostępowym). Ofiara chce łączyć się z konkretnym adresem IP, budowany jest pakiet IP z tymże adresem lecz gdy opakowywany jest w ramkę ethernet dodawany jest nasz adres MAC. Przez to router ignoruje go a switch przesyła go na naszą kartę sieciową. Wtedy ettercap może zrobić z nim co zechce. Możliwe jest przerwanie lub przejęcie połączenia tcp! Możliwa jest zamiana danych lub zwyczajne snifowanie. W przypadku snifowania pakiet logowany jest na dysku, zamieniane są adresy mac by dotarł do routera i wio.
Piękne czyż nie?!
Ataki tego typu są bardzo niebezpieczne bo pozwalają nawet na inspekcję szyfrowanych połączeń w szczególnych okolicznościach. Jeśli certyfikat ofiary servera nie jest podpisany możemy go sfauszować zastępując swoim (jest to jednak dużo trudniejsze niż snifing nieszyfrowanych połaczeń). Również połaczenia ssh mogą być przechwycone w ten sposób jeśli ofiara łączy się po raz pierwszy z serverem i nie komputery nie posiadają jeszcze swoich kluczy.
Ataki MIT możliwe są też na każdym routerze i gatewayu. Każdy komputer który pośredniczy w przesyłaniu naszych pakietów może posłużyć hakerowi do przechwycenia naszych połączeń i dowolnej ich obsługi. Ataki MIT pozwalają np. na przekierowanie użytkownika WWW pod inny adres niż tego chciał. Wystarczy że założy się odpowiednie filtry a można każde wystąpienie ciągu [ Link do strony zewnętrznej. Zarejestruj się lub zaloguj aby zobaczyć link ] podmieniać na dowolny adres ip. Możemy wtedy przygotować podobny serwis udający stronę banku i przechwycić nie tylko hasła i loginy ale nawet kody jednorazowe do wykonywania przelewów. Oczywiście będzie można ich później użyć do wykonania dowolnego zlecenia.
Naturalnie wszelkie ataki tego typu są mniej lub bardziej nieetyczne lub niezgodne z prawem. Administrator sieci musi jednak zdawać sobie sprawę jak realne są to zagrożenia i robić wszystko by uchronić swoją sieć przed tego typu scenariuszami.
Naturalnie ataki MIT mogą być wykonywane tak by oszukać dwa komputery z naszej sieci ale równie dobrze możemy oszukać jeden komputer i router by cała komunikacja z tym komputerem "szła" przez nas. Możemy nawet oszukać całą sieć lokalną że to nasza karta jest routerem i w ten sposób przekierować całą komunikację sieci z internetem przez nas.
Aktywne podsłuchiwanie jest niebezpieczne, może być wykryte dość łatwo przez programy monitorujące zmiany w ARP i inne anomalie. Nie powinno się robić takich prób nawet w sieciach uczelni czy osiedla. Jeśli chcecie się pobawić i zobaczyć że to działa połączcie 4 komputery w sieć (klient, router, komputer poza siecią wewnętrzną oraz haker w sieci wewnętrznej.) połączcie wszystko kablami i switchem i się bawcie.
Poza ryzykiem wykrycia możemy uszkodzić czyjeś dane, spowodować straty materialne lub zostać oskarżeni o naruszenie prywatności i inne zakazane rzeczy. Tak że po prostu nie róbcie tego w żywych sieciach i już.
Zadanie:

1. Jeśli włączyłeś dopiero knoppixa zaloguj się jako root, zmień hasło roota, uruchom program ettercap z interfejsem graficznym Internet->More applications->ettercap (as root)
2. Jeśli masz inną wersję knoppixa (np 4.0.2) w konsoli przeloguj się na użytkownika root poleceniem su (lub sudo su -) a następnie wykonaj: ettercap -G -i eth0
3. Włącz przechwytywanie pakietów sniffing->unified sniffing
4. Włącz start->start sniffing
5. Wejdź w menu logging, ustaw plik logowania komunikatów usera.
6. Połącz się z innego komputera z serwerem FTP
7. Zauważ jak od razu username oraz hasło zostały pokazane w oknie komunikatów oraz zapisane w pliku który określono jako plik logowania.
8. Połącz się za pomocą protokołów telnet, pop3 oraz smtp (ale może lepiej w domu lub innej sieci gdzie nikt poza tobą nie podsłuchuje żeby nie ujawniać swoich haseł innym) zauważ że te protokoły również są logowane.
9. Nawiąż sesję ssh z komputera kolegi.
10. Wejdź na zakładkę view->connections kliknij prawym przyciskiem i wybierz kill connection. Połączenie powinno zostać zerwane.
11. W zakładce połączeń kliknięcie 2 razy na połączeniu pokazuje dane jakie wyły przesyłane w strumieniu. Możemy połączyć okna by widzieć kolejność komunikatów. Możemy też spróbować wtrącić swoje dane w połączenie.
12. Wejdź na zakładkę profile by zobaczyć typy połączeń oraz ich szczegóły.
13. Wejdź w zakładkę hosts->scan for hosts. Każdy z wykrytych komputerów w hosts->host list może być dodany do listy celów ataków MIT.
14. Sprawdź czy wszystkie komunikaty zostały zalogowane w pliku logowania.
Odpowiedz

[-]
Szybka odpowiedź

Disable AutoMedia embedding for this link.   MP3 Playlist

Weryfikacja przeciw botom
Zaznacz pole wyboru znajdujące się poniżej. Ten proces pozwala chronić forum przed botami spamującymi.

Użytkownicy przeglądający ten wątek:

1 gości